行业背景

随着移动信息化时代的到来,智能终端设备,如智能手机和平板电脑,已经成为人们接入互联网的主要工具。这种趋势推动了运营商在移动信息化领域的快速发展,使得移动服务不仅限于传统的语音和短信,而是扩展到了移动生活服务、在线视频流媒体、移动游戏等多个领域,这些领域的移动客户端应用如雨后春笋般涌现。

为了满足这种增长的需求,运营商迅速构建了包括无线网络、核心网络、承载网络、业务网络、支撑网络以及传输网络在内的复杂网络系统。这些网络系统为用户提供了高速、稳定的网络连接,使得各种移动应用得以顺畅运行,从而极大地丰富了用户的移动互联网体验。

然而,随着网络系统的快速搭建和应用的广泛普及,随之而来的安全问题也日益凸显。网络攻击者利用各种手段对移动应用、企业内部数据以及通讯数据进行攻击,试图窃取敏感信息或破坏服务的正常运行。这些安全威胁不仅影响了用户的隐私和数据安全,也对运营商的业务连续性和信誉造成了严重挑战。

安全风险

在移动应用领域,运营商们提供了多种类型的客户端,这些客户端涵盖了广泛的服务和功能,其中包括但不限于游戏资费查询与管理、视频内容的观看与分享、网上缴费服务、内部办公工具以及团队内部协同工作平台等。这些移动客户端为用户提供了极大的便利,使得他们能够随时随地访问所需的信息和服务,从而提高了工作效率和生活质量。 然而,随着移动客户端的广泛应用,它们也面临着日益严峻的安全风险。这些风险包括但不限于客户端被破解、刷量行为以及遭受各种网络攻击。这些问题不仅影响了运营商的正常运营,还可能对用户的个人信息安全造成威胁。因此,运营商必须采取一系列的安全措施,如加强客户端的加密技术、实施严格的访问控制和监测机制,以及定期进行安全审计和漏洞扫描,以确保移动客户端的安全性和稳定性。

解决方案

运营商因旗下管理APP数量庞大,监管要求严格,所以在制定安全解决方案时,需从全生命周期管理的角度进行考量。可通过应用备案、安全检测、安全加固、成分分析、代码审计、应用监测、渠道监测等方式,对运营商旗下APP进行智能化的安全管理。从应用漏洞&风险的发现、漏洞&风险的整改、上线后APP的监控,实现APP全生命周期的全覆盖。

同时,为保证上线后的APP可以复核监管单位的相关要求,还需从个人信息合规层面进行合规评估,确保APP不存在个人隐私信息合规问题,降低被通报的概率。

APP备案管理 以移动应用备案业务流程为核心,建立面向主管单位进行申请、面向子公司及用户提供查询、面向监管方审核存档的移动应用备案管理平台,利用动静态检测、大数据抓取、机器清洗聚合等多种技术手段,赋能备案监管的各个流程节点,保障移动应用监管业务的高质量建设。
APP安全检测 支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的自动化安全检测,帮助企业进行内部或外包开发的移动应用进行安全水平评价;也可用于监管机构提供应用安全风险评价、取证。
移动APP安全加固及安全SDK 支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的安全加固,提供安全键盘、环境清场、通讯数据加密等安全开发组件,帮助企业提升移动应用的安全水平。
移动应用大数据平台 帮助监管机构摸清管辖范围内的移动应用资产,并实现安全、合规、恶意行为等维度的持续监测,提升监管范围和效率。
人工渗透评估服务 支持对各类型APP实施渗透测试服务;支持对WEB端实施渗透测试服务;支持实施人脸识别专项渗透测试服务;支持对APP、小程序等类型应用实施隐私合规评估服务。
移动APP合规检测 支持对Android、iOS、SDK、小程序等类型应用的自动化合规检测,帮助企业进行内部或外包开发的移动应用进行合规评价;也可用于监管机构提供应用违规风险评价、取证。
个人隐私合规评估服务 个人信息合规检测服务,从APP检测、政策解读、违规整改到证据存留,全方位赋能金融移动应用运营者,有效降低APP违规收集使用个人信息的风险,助力金融APP的长久运营。
应用数据审计系统 基于业务数据流量分析,以用户访问角度,对数据中心的数据流动进行监测和溯源,发现内部数据泄露风险。
应用数据API监测系统 以数据为中心,面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统,帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。部署在企业/组织的互联网出口,实时监控企业组织API的数据暴露面以及被攻击情况。
软件安全开发管理平台 以SDL为基础,以安全开发制度、规范为准绳,以安全大数据为驱动,构建应用开发各阶段的所有模块、工具统一运行调度的平台型操作系统。把以往在测试阶段的安全工作左移,让安全问题在立项到开发的过程中就规避和解决,达到防患于未然。
源代码审计系统 支持 C\C++、 Java、 JS、 PHP、 SQL 等语言代码进行扫描检测,发现源代码中的安全缺陷、性能缺陷、代码质量等问题。
软件成分分析系统 对软件组成进行分析检测,具有二进制SCA、源代码SCA、运行时SCA检测能力,可以自动化梳理数字应用中的第三方组件资产,审查组件中涉及的已知漏洞、恶意代码和许可证使用风险。检测出软件中的组件分布信息,识别安全风险,准确定位告警,帮助开发人员消除应用中的漏洞、违禁协议、减少安全隐患,为软件的信息安全保驾护航。
灰盒测试系统 利用多种技术方式对软件内部执行过程进行分析、度量和验证,更全面的发现软件内部缺陷。
黑盒测试系统 主要进行软件的功能性测试,验证程序是否能正确地处理输入数据并产生正确的输出结果。
应用系统攻击自免疫平台 作为一种新型Web防护手段,将保护代码像一剂疫苗注入到应用程序中,与应用程序融为一体,使应用程序具备自我保护能力。
网络安全有效性验证系统 可对当前网络所部署的安全防护体系进行持续的有效性验证,帮助企业及时识别和解决安全问题,提高企业的安全防御能力和风险管理水平。
外部攻击面管理系统 发现和清点企业未知的面向外部的资产,评估资产风险及脆弱性,帮助企业快速降低暴露面风险。

部分荣誉资质

  • 应用安全联盟会员

  • CNNVD技术支撑单位等级证书

  • ISCCC信息安全服务资质认证

  • 质量管理体系认证

  • 信息技术服务管理体系认证

  • 信息安全管理体系认证

  • 计算机信息系统安全专用产品销售许可证

  • CMMI3级资质证

  • 高新技术企业

  • 中关村高新技术企业

获取更多运营商行业解决方案信息